BUSINESS CENTER / 特集 ASCII network PRO 2000年7月号
セキュリティパーフェクトガイド(その2)
2000年8月1日
ファイアウォール・VPN
日本でもセキュリティといえば「ファイアウォール」というのが、かなり常識になっている。もちろん、これがセキュリティ対策のすべてではないが、最近ではVPNやコンテンツフィルタリングなど多くの機能がファイアウォールに統合されつつある。単体製品としての購入よりも、サービスとして導入するパターンが一般的となっているのが現状だ。
カタログの見方 気になるファイアウォール選び
ファイアウォールは、外部からの不正アクセス対策として現在も多くの企業ネットワークを守っている。一口でファイアウォールといっても、基本的な技術が共通に存在しているだけで、製品形態は多種多様である(5月号 特集1「2000年度、Webサーバ防衛大綱」参照のこと) 。実際、どれもセキュリティ強度を相対的に比較しにくく、機能だけで製品を選ぶのもなかなか骨の折れる作業である。ここでは最低限おさえておきたい製品選びのポイントをみていこう。
もっとも基本となるアクセス制御方式だが、アプリケーションゲートウェイとパケットフィルタリングの大きく2種類に分かれるというのは本誌でも何度も紹介している。どちらも一長一短あるが、強度ではアプリケーションゲートウェイ、パフォーマンスではパケットフィルタリングというのが一般論になっている。
しかし、これらの弱点が技術革新によって改良されている場合も多い。今までパフォーマンスに弱点あるとされたアプリケーションゲートウェイは、昨今のCPUの高速化により、十分に処理可能になった。一方、パケットフィルタリングに関しても、単に宛先、ソースアドレス、ポート番号、プロトコルによってあらかじめポートの開け閉めを設定しておくという古典的な方式でなく、セッションの状態をみて動的にポートの開閉を行なうダイナミックパケットフィルタリングに主流が移ってきている。最近では相互の長所を取り入れた製品も多くなっており、こうした二者択一で製品を選択することも少なくなってきている。両者をサポートするハイブリット型の製品であれば、基本的にはパケットフィルタリングで対応し、特にメールやWebなどのサービスはアプリケーションゲートウェイで詳細に制御を行なうといったアクセス制御の併用が行なえる。
しかし、こうした機能もきちんと使いこなせなければ意味がない。ファイアウォールは日々の保守作業が重要になるため、管理や運用の容易さなども十分検討して製品を選択するべきであろう。
SOHO規模から大企業向けまでハードウェア型が台頭する
製品の選択で特に重要なのは、ソフトウェアとハードウェアの違いである。
多機能で拡張性に優れたソフトウェアのファイアウォールだが、ハードウェアに比べて、いくつか弱点を持っている。つまり、
- 概して製品が高価
- 別途サーバ機へのインストール作業が必要になるので、導入が面倒
- 動作がサーバOSに依存するため、OSのセキュリティホールを突かれる可能性もある
- パフォーマンスがサーバのハードウェア構成に依存するため、構成を誤るとボトルネックになる可能性がある
などである。こうした点に関しては、当然メーカーも理解しており、当初からパッケージ販売ではなく、システムインテグレーションと込みの販売形態が中心になっている。また、サーバ機にプリインストールしたり、ハードウェアをチューニングしたアプライアンスの形態をとる場合も多くなっている。
加えてファイアウォールは処理から考えても、なかなか古いマシンを使い回すことはしにくいので、通常はサーバ機を新規に購入することになる。こうしたサーバの価格もきちんと考慮する必要がある。
一方、ソフトウェア型の製品に後れをとってきたハードウェア型のファイアウォールだが、最近は機能や管理といった面でも十分な実力を備えているといってよい。そもそもハードウェア型の場合、CPUやメモリ、ディスクなどがファイアウォールソフトに合わせて設計されているため、ある程度のパフォーマンスが保障される。また、多くは独自のものを利用しているため、OSのセキュリティホールやバグを突かれるという問題も汎用OSに比べれば少ないだろう。最近では、SonicWallやNetScreenなど「セキュリティアプライアンス」などと呼ばれる安価で導入の容易なワンボックス型の製品がSOHO・中小企業に人気を博しているようだ。
その他の注意点だが、比較的大きな環境で導入する場合は、冗長構成を採るのがベストだ。ファイアウォールの場合、社内・社外のセキュリティポイントを1カ所にしぼることで効果を発揮することになる(つまりバックドアがあっては効果が得にくい)。裏を返せば社内・社外のトラフィックがすべて通過するファイアウォールがダウンすれば、通信が一切できないことになる。こうした点からもファイアウォールにも耐障害性は重要になるわけだ。しかし、フェイルオーバーやロードバランシングなどに対応している製品はそれほど多くないし、導入するための価格も、サーバ込みで1000万円近くになる場合も多い。それなりの予算は確保しておくべきだろう。
ちなみに今回紹介するセキュリティ製品は、ほとんど米国かイスラエルの製品である。従って、日本語マニュアルの提供はもちろん、製品自体が日本語化されている場合はほとんどない。こうした部分だけみても、自力で設定を行なうのが、かなり大変だということがわかるだろう。
VPNはエンドユーザで構築か外部業者に委託するか
さて、IPネットワーク上で専用線と同等のセキュリティを確保するVPN(Virtual Private Network)は、WANとLANが統合された現在の企業ネットワークでは、欠かせないテクノロジーになった。各社独自仕様が多かったVPNも、レイヤ3でのパケット暗号化を可能にするIPsecとパケットのカプセリングにより通信経路を隠蔽するトンネルを構築するためのL2TPという2つの標準仕様が決まり、徐々に相互運用性も確保されていくことになる。一方、Windowsを中心に実装されているPPTP(Point To Point Tunneling Protocol)はリモートアクセス型VPNの構築を考えれば有効な選択肢だし、Webアプリケーションの利用を前提とするのであればSSL(Secure Socket Layer)によるトンネリングという手段も採れる。
 |
図3 VPNの場合、暗号化や認証といった処理をOSIの第2・3層で行なう技術が中心となっている。そのためWANへの出入口のVPN装置で強制トンネル構築等を行なえば、ユーザーは意識しないでセキュアな通信が実現できる |
VPNの場合、実際のシステム要件によって、ネットワーク構成が大きく異なる(図3)。エンドユーザー自体が既存のインターネット接続サービスを使ってLAN間接続VPNを構築する際は、トンネルを生成したり、パケットの暗復号を行なうVPN装置(VPN機能を搭載するファイアウォールやルータ等を含む)を各拠点のインターネット接続点に設置することになる。こうしたインターネットVPNの場合、拠点間ごとにトンネルを設定する必要があるが、逆に通信相手が自由に選択できるため拡張性が高い。
一方で、ISPのVPNサービスを利用するという方法もある。最近では、インターネットとは別の専用ネットワークでVPNを実現するIP-VPNサービスが注目を浴びており、国内ではNTTコミュニケーションズ、日本テレコム、DDI/KDD、PSINet、C&W IDCなどの大手キャリア/ISPがサービスを開始する(している)。こうしたISPのVPNサービスは通信の安定性と高度なセキュリティが売りとなっているが、まだまだサービスは多くないし、アクセスポイントも限定される。ということで、機器の価格を考えればエンドユーザーによる構築も十分実用的と言えるだろう。
もっともてっとり早い方法として、既存のファイアウォールにVPNオプションを加えることで、サイト間のVPNなどを実現する方法がある。注意すべきはやはりパフォーマンスで、特にIPsecによる暗号化処理には専用ハードウェアを用いるのが一般的と考えてよい。また、IPsec対応を謳う製品でも、実際に自動鍵交換を行なうIKE(Internet Key Exchange)や複数の暗号化モードなどを含む最新版2.0をフルサポートしている製品はまだ少ない。他社製品との相互接続に関してはスペックを確認するとともに、きちんとテスト結果を踏まえた上での導入が基本となる。
以下カタログではファイアウォール製品を統合型、ハードウェア型、VPN専用の3つに分類し、製品概要を紹介する。
(池田圭一、編集部)
Contents...
| ![ASCII24 - [Main Menu]](/images/2005/biz_menu_01.gif)
![[Menu 2]](/images/2005/biz_menu_02_blogmag.gif)
![[PR]](/images/2003/pr_icon.gif){kind=icon}
![[次ページ]](/images/nextpage.gif){kind=small}
